Google知道你多少秘密

 

Google核心技术丛书

Google知道你多少秘密

 

 

 

【原 书 名】 Googling Security: How Much Does Google Know About You?

【原出版社】 Addison-Wesley Professional

【作　　者】(美)Greg Conti

【译　　者】 李静

【丛 书 名】 Google核心技术丛书

【出 版 社】 机械工业出版社    

【书    号】 9787111286967

【上架时间】 2009-12-14

【出版日期】 2010 年1月

【页    码】 265    

【版    次】1-1

 

 

【内容简介】

本书以全球知名的品牌之一——Google为例，全面地阐述使用Google工具和服务的各种隐私泄露的可能渠道，以及防范隐私泄露的方法。主要内容包括：泄露信息的类型和方式，使用网络时留下的信息以及Google如何使用这些信息配置我们的行为，搜索、通信和地图查找等在线工具的风险，用户在浏览成百上千个网站时被Google和其他大型在线公司跟踪的方式，如何防范基于网络的信息泄露，当前网络的发展趋势及可能面临的风险。

本书是一本如何防御基于网络的信息泄露的手册，对于经常或准备畅游网络世界的普通公民或安全专家而言，本书都是一本不可多得的好书。

 

【前言】

    信息经济的发展戏剧性地改变了我们管理企业和生活的方式。在商业竞争的世界里，能最佳地访问信息的企业可以比对手作出更快速、更高效的决策，拥有明显的优势。在我们日复一日的生活中，简单地访问信息以及改进通信方式实际上也可以丰富我们生活的方方面面。而这种变革的本质是因特网，尤其是万维网。

    20世纪90年代，在网络出现后不久，网络的商业化也初现端倪。在线公司都在寻找一种能够适应这个新生事物的商业模式，传统商业规则已经不再适用。免费、易用的工具与精准广告捆绑在一起成为了最有生存力的方式之一。定制广告，就定义来看，要求了解每个用户的需求，而这又要求日志记录和数据挖掘非常有效。因此，在线公司有效地记录了与我们使用的基于网络的工具相关的每一种可能的数据类型。有了这些数据，在线公司便可以改善我们的体验以及完成它们出售定制广告的目标。

    在人类的历史长河中，数据的价值空前重要。如果你想一下你所进行的在线搜索、地图查找、通信交流、博客写作、新闻阅读、购物和浏览，你便会意识到你几乎已经泄露了你所有的信息，而这些信息又都存放在少数在线公司的服务器上。在网络上采用单一的匿名方式并不能有效地防止你泄露身份。如果你根本不受关注，还是有可能的。该信息所具有的价值让人吃惊并且面临着被滥用的可能。如果仔细考虑公司所泄露信息的数量，这一威胁会更大。公司高层身后所隐藏的有关公司战略规划方面的任何秘密被放在了其他某些人的服务器上。正如大坝所拦截的水流，这是一个我们迟早都得去解决的问题。目前，全球有10亿名因特网用户，这一数值占全球人口的18%。当数十亿用户在线加入我们时，在线网络信息泄露现象也必将会增加。尽管当前还没有很好的解决方法，但是本书首次提出了这一问题的解决办法。本书明确地阐述并分析了网络信息泄露问题，并提出了可以最小化该威胁的应对措施。

本书面向的对象

    简单地说，如果你使用网络就应该阅读本书——当然，除非你没有什么好隐瞒的。虽然读者多数不是恋童癖或者恐怖分子，然而，我敢说你不想让你的健康、政治和社交网络的所有信息都存放在别人的服务器上，即便这个人是Google或者它的竞争对手之一。可能在今天这并不是一个问题，但是历史表明，信息泄露、隐私策略更改、公司合并、数据溢出以及攻击都时有发生。仅信息所提供的能力而言，就够那些商业公司、保险公司等垂涎三尺的了。

    正如其他的图书一样，全书的内容要有选择性地取舍。我选择了一个宽泛的主题，以便让更多的读者接受（并且提高本书的正面影响），但是与此同时，我又给出了足够的技术细节来帮助人们了解现象背后的技术问题。我旨在提高人们对使用Google工具以及其他在线工具所涉及的隐私问题的关注。基于网络的信息泄露的威胁是一个公开的问题，我将尽量把这个问题描述清楚，但是并不存在完全的解决方案。对于很多人而言，本书只是一个引子。不过，我相信一些IT和安全专家们应该考虑书中提出的一些观点。也就是说，即便对于那些最了解安全的读者而言，本书仍有一定的参考性和趣味性。

为什么是Google

    本书研究了使用Google的产品和服务存在的安全问题。为什么我只选择了Google而没有选择其他的提供相似产品和服务的公司呢？坦白说，是Google的成功和其引人注目的创新才使得它成为了本书的主题。实际上，很多其他的在线公司提供了相同的产品和服务，但是没有人比得上Google提供的创新性和全面性。其他公司有很多相似之处但是很难超越，Google是名副其实的市场引领者和其他公司进入在线服务行业的强有力的竞争对手。因为它的成功，Google身先士卒地遭遇了很多无法预料的挑战。当美国司法部索要你的搜索查询日志时你应该做什么？当搜索排名算法中的一个简单改变也可以让某个人变成百万富翁或者摧毁一个繁荣的企业时，Google如何找到一条合乎道德又有利可图的道路？因为Google的地位举足轻重，所以微小的改变也会产生巨大的影响。即便Google的默认背景颜色从白色改变成节约能量的黑色也可以每年节约750兆度电。\[1\]你可以看到Google面临的道德挑战有多么巨大。通过它的引用频率非常高的名言，“杜绝罪恶”，Google为它自己树立了非常高的道德标准。任何能察觉到的偏差都会受到激烈的批评。

    Google的使命“组织全世界的信息并且让它在全球范围内可访问和可用”非常令人钦佩，而且已经让我们的生活变得更加容易了。Google通过提供高品质（通常是免费）的工具来推行这一使命。然而，通过使用Google和它的竞争者们提供的工具，我们实际上为使用它们支付了个人信息作为费用。通过研究我们与Google的交互过程，我们实际上也就相当于研究了所有类似公司的产品。通过本书，我分析了使用Google工具和服务的隐患，但是在合适的时候，我还会讲解来自不同厂商的类似产品。我还会详细讨论由因特网服务提供商（ISP）引发的威胁。ISP同样可以看到你的在线行为——尽管它们来自不同的网络位置。在线公司可以看到全球来自成千上万的用户的信息流，而ISP也可以看到他们的顾客的所有活动，只不过无法达到Google那样的全球化程度。

    就个人而言，我是一个Google迷，并且在日常的生活中使用到了它的很多服务。我决不是想让Google一败涂地。而是，我们必须在到达信息泄露的临界点（我认为这个临界点可以很快地到达）之前认识并且处理基于网络的信息泄露的问题。当AOL在2006年因疏忽而泄露了658 000个用户的搜索行为，我们意识到了这个问题的严重性。\[2\]我撰写本书的目的是为了说明这个问题以便我们可以作出更多关于使用“免费”网络工具的更明智的决定，并且共同查找允许诸如Google之类的公司革新和改进并同时满足个人和企业的隐私需求的解决方案。简而言之，正是因为有了这样一个高级的产品，Google才让自己成为了一个高配置的目标，而这也成为了一个问题。考虑我们为Google提供了什么以及Google如何保护这个产品的确是一个恰当的对策。

    值得注意的是，本书完全基于公众可用的信息。我并没有特别地查找任何私有的或者内部使用的信息。正如你将看到的，公众可用的信息对于理解这个问题而言已经绰绰有余了。

本书概述

    本书讲解了Google的工具和服务所显示出来的有关基于网络的信息泄露的很多方面。第1章分析Google及其功能、动机和影响，提供有关在使用Google大量工具时个体和公司泄露信息的类型概况。第2章通过从网络服务提供商和个人工作站的角度，研究相同的信息流来整体看待这些泄露问题。

    第3章研究了在我们使用网络时留下的信息以及这些信息如何用来配置我们的行为，并与我们的真实身份联系起来，以及与其他用户、企业和团体连接起来。第4章～第6章深入研究了与诸如搜索、通信和地图查找等在线工具相关的风险。第7章说明了在浏览成百上千个（非Google）网站时用户被跟踪的不断增长的多种方式，这涉及嵌入广告、YouTube视频和相似的内容。

    第8章描述Google和其他大型的在线公司如何使用自动的网络爬虫军队全天候地收集和处理信息。第9章介绍如何减少基于网络信息泄露的影响。第10章分析当前的趋势并说明了未来可能面临的风险。

    网络是一个日益增长并不断发展的空间。尽管我精心地挑选了最相关的主题，但是仅一本书的内容还是很难有效地对当前和未来可能出现的问题进行全面的列举和分析。出于这种考虑，我希望你能访问本书的配套网站（www.informit.com/title/9780321518668）了解更多的附加信息。

致谢

    很多人都对本书的成功出版作出了贡献。不过，不可避免地会遗漏某些人，感谢下列团队：Annual Computer Security Applications Conference，Black Hat，Communications of the ACM，DEFCON，Digg，Electronic Frontier Foundation，IEEE Security & Privacy Magazine， International World Wide Web Conference，Interz0ne，New Security Paradigms Workshop， Slashdot，Symposium on Usable Privacy and Security，West Point，Wikipedia以及Workshop on Privacy in the Electronic Society。

    我还要特别提到一些人。首先，我要感谢John Battelle，感谢他在他的“database of intentions（目的数据库）”作品和他的书《The Search: How Google and Its Rivals Rewrote the Rules of Business and Transformed Our Culture》（Portfolio Trade，2006）中有关网络信息泄露方面的开创性的工作。另外，我也很愿意去了解Johnny Long在Google hacking的工作以及他出色的著作《Google Hacking for Penetration Testers》（Syngress，2007）。他清晰地列出了可以在Google数据库中找到的丰富的安全信息。我希望可以在我的书中通过检验反向信息来完成他的工作，这些信息是我们提供给Google和其他在线公司的信息。在AddisonWesley，我想要感谢Jessica Goldstein、Romny French、Sheri Cain和Jovana San NicolasShirley。我也想感谢我的技术审阅者3efd09cddc148ee790d17e35ae323852、\[3\]David Blake（aka StankDawg）、Sergey Bratus、Anna Shubina和Lenny Zeltzer。当然，你在文字中找到的任何错误都归咎于我自己。最后，我想感谢Google能开发出如此卓越的工具，以致人们还需要编写关于它们的图书。

尾注

 

［1］ “Change Googles Background Color Background Color to Save Energy?” Slashdot.org, 27 July 2007. http://hardware.slashdot.org/hardware/07/07/27/054249.shtml（最后的访问时间是2007年9月25日）

 

［2］ Ryan Singel,“FAQ: AOLs Search Gaffe and You,” Wired.com, 11 August 2006. www.wired.com/politics/security/news/2006/08/71579（最后的访问时间是2008年5月25日）

 

［3］ 这是这位审阅者的MD5散列的名字。加密的散列函数被设计用来输入和生成一个固定大小的字符串；反向操作极其困难。因此，审阅者可以证明她（他）帮助完成了本书（他或她为本书做了很多），但是（几乎）不可能将这个散列数字倒推回名字。

 

 

 

目录

 

译者序

前言

第1章Google搜索

1.1数字大邦

1.2Google帝国

1.3只需Google搜索它

1.4风险

1.4.1信息泄露的情形

1.4.2摆脱桌面的趋势

1.4.3数据保存以及持久性

1.4.4信任

1.5对待信息需谨慎

1.5.1与第三方共同权衡

1.5.2意外

1.5.3恶意软件和软件漏洞

1.5.4有目标的攻击

1.5.5法律制裁

1.6公正的交易

1.7小结

1.8尾注

第2章信息流和信息泄露

2.1信任问题

2.2PC机上的信息流以及信息泄露

2.2.1Networks

2.2.2外围设备

2.2.3电磁辐射

2.2.4声音

2.2.5电源线

2.2.6人以及人携带的东西

2.3网络上的数据通信

2.3.1网络上的信息流以及信息泄露

2.3.2Google与ISP

2.4小结

2.5尾注

第3章痕迹、识别和连接

3.1基本网络连接以及数据保存

3.2遗留的痕迹

3.2.1网络服务器日志

3.2.2IP地址

3.2.3浏览器标题字段

3.2.4Cookie

3.2.5HTTP referer数据

3.3语义上的泄露

3.3.1注册用户账号

3.3.2网站导航

3.4唯一性和行为定位

3.4.1行为定位

3.4.2唯一性

3.5连接

3.6小结

3.7尾注

第4章搜索

4.1查询内容

4.250万以上访问量的搜索引擎

4.3搜索的方方面面

4.3.1搜索框和相关的应用程序

4.3.2高级搜索运营商和Google Hacking

4.3.3其他搜索因素

4.4风险

4.4.1操纵通信

4.4.2查到不正确的事物（或者SEO隐患）

4.4.3查到恶意的事物

4.4.4其他的搜索查询

4.4.5（自）审查制度

4.5识别

4.6小结

4.7尾注

第5章通信

5.1电子邮件

5.2语音、视频和即时消息

5.3组

5.4移动设备

5.4.1文字信息

5.4.2移动和定位搜索

5.5风险

5.5.1依赖性

5.5.2通信分析

5.5.3信息存档

5.5.4窃听、过滤和更改

5.5.5语言翻译泄露

5.5.6集中管理

5.5.7透露社交圈

5.5.8通信的计算机分析

5.6小结

5.7尾注

第6章地图、定位和影像

6.1信息泄露

6.1.1基本的交互泄露

6.1.2搜索的风险同样也存在于定位中

6.1.3泄露隐私的个性化

6.1.4通过地理关系链接用户级别

6.1.5条条道路通罗马

6.1.6通过Mashups进行跟踪

6.2内容也有危险

6.2.1基本的影像分析

6.2.2将敏感事物模糊化

6.2.3精确度和虚假性

6.2.4街道级视图

6.3小结

6.4尾注

第7章广告与嵌入内容

7.1跨网站跟踪

7.2广告

7.2.1AdSense

7.2.2AdWords

7.2.3Google DoubleClick

7.3广告风险

7.3.1恶意广告服务

7.3.2恶意界面

7.3.3敌对网络

7.3.4联盟服务

7.3.5Facebook的Beacon

7.4其他的跨站风险

7.4.1Google Analytics

7.4.2Chat Back

7.4.3YouTube视频

7.4.4在网页上搜索

7.4.5Friend Connect

7.4.6嵌入地图

7.5小结

7.6尾注

第8章Googlebot

8.1Googlebot的工作原理

8.1.1Googlebot的足迹

8.1.2robots.txt

8.2Googlebot 及其同类的风险

8.2.1欺骗Googlebot

8.2.2在网络上放置敏感信息

8.2.3Google黑客

8.2.4邪恶的爬虫

8.3小结

8.4尾注

第9章对策

9.1为用户打补丁

9.1.1提高意识

9.1.2知晓自己泄露的东西

9.1.3可用的安全性

9.2技术保护

9.2.1控制Cookie

9.2.2泄露的传播与消除

9.2.3加密

9.2.4保护个人网络地址

9.2.5避免使用注册账户

9.2.6在计算机上尽量少保存数据

9.3策略保护

9.3.1禁止跟踪列表

9.3.2向法律和政策制订者请愿

9.3.3支持隐私组织

9.3.4数据的生成、保存和匿名化

9.4小结

9.5尾注

第10章结论与展望

10.1基地与Google

10.2全球网络战将继续

10.3Google已死，Google万岁

10.3.1猎杀Google

10.3.2权力竞争继续

10.3.3Google的合并、收购与倒闭

10.4新因素与新用户

10.4.1网络应用程序

10.4.2传感器与RFID

10.4.3Web 2.0

10.5最后的思考

10.6尾注